Неизвестная спонсируемая государством киберпреступная группировка развернула масштабную операцию против электроэнергетических компаний США. По данным специалистов из Proofpoint, в период с 5 апреля по 29 августа нынешнего года злоумышленники разослали фишинговые письма по крайней мере 17 представителям энергетического сектора с целью заражения их сетей трояном для удаленного доступа LookBack.

Proofpoint официально не называет операторов вредоносной кампании, однако некоторые свидетельства указывают на причастность к ней китайских киберпреступников, а точнее, группировки APT10.

Нынешний отчет исследователей является продолжением отчета , опубликованного 2 августа. В то время сообщалось, что фишинговые письма получили только три компании в период с 19 по 25 июля. Однако, судя по новому отчету, вредоносная операция оказалась масштабнее, чем предполагалось изначально. Публикация августовского отчета никак не отразилась на активности киберпреступников (за исключением незначительных изменений в тактике), и кампания продолжилась до конца августа.

Если изначально фишинговые письма маскировались под сообщения от Национального совета экзаменаторов инженерии и исследований США (NCEES), то в августе злоумышленники стали рассылать письма от имени организации Global Energy Certification (GEC). В письма были вложены безобидные документы наряду с вредоносными.

После открытия вредоносного файла Word DOC от жертвы требовалось включить макросы, после чего встроенный VBA-скрипт загружал на систему троян LookBack. Данный вредонос написан на C++ и появился сравнительно недавно. Для передачи данных с инфицированного компьютера на удаленный сервер троян использует прокси. LookBack позволяет просматривать процессы, систему и файлы, удалять файлы, выполнять команды, делать снимки экрана, перемещать курсор и кликать мышью, перезагружать компьютер и способен удалять себя с зараженного хоста.

Источник: securitylab.ru